1

Bob Booth: “Heartbleed sigue activo y las empresas no lo toman en serio”

Por si no lo recuerda, fue Codenomicon, una empresa con sede en Finlandia, quien descubrió Heartbleed, este grave error al hacer pruebas de estrés a varias aplicaciones de seguridad en línea. En su paso por Chile, Bob Booth, Regional Sales Director de Latinoamérica, converso con CIOAL sobre este fenómeno de seguridad 2014, cómo las empresas lo siguen afrontando y de las fallas más recurrentes que nadie quiere aceptar.

Haciendo un poco de historia, a inicios del 2014 se dio a conocer una falla en Open SSL, una de las aplicaciones seguridad más utilizadas en el mundo. El error había dejado vulnerables, durante poco menos de dos años, a miles de servidores en todo el mundo.

El error, bautizado por Heartbleed por sus descubridores, los ingenieros de Codenomicon, permitió que cualquiera que contara con los conocimientos suficientes pudiera acceder a información sensible que se suponía sólo podía ser vista por el usuario y el servidor de destino donde se hospedaran los servicios a los que accedía, como el correo electrónico, los mensajes instantáneos y muchos servicios que requieren de encriptación, como los portales bancarios, por ejemplo.

¿Cuál fue el error particular de Heartbleed que causo tanto pánico y estragos en las empresas de todo el mundo?

El error en la versión de Open SSL (una app de código abierto que es prácticamente el estándar de encriptación de servicios en línea)  data de 2012, por lo que desde entonces existió ese hueco de seguridad en la aplicación, dejando una puerta abierta en cerca del 66% de los servidores de todo el mundo, explica Booth. Este hallazgo lo hicieron tres ingenieros de Codenomicon Antti Karjalaine, Riku Hietamäki y Matti Kamunen, y casi al mismo tiempo y de forma separada Neel Mehta, de Google. El equipo de Codenomicon corría pruebas de estrés a varias aplicaciones web, entre ellas Open SSL, cuando detectó el error que permitía a un tercero tener acceso a información guardada en la memoria del servidor, como contraseñas, llaves de encriptación y otros datos de la sesión.

¿Y cómo reaccionaron la comunidad y las empresas?

Open SSL liberó rápidamente un aviso de seguridad y un parche, sin embargo, explica Booth, hay poco que puedan hacer los usuarios más allá de solicitar información a los proveedores de servicios sobre el alcance de la falla, de hecho, “no se recomienda cambiar las contraseñas de ningún servicio hasta estar seguros de que el error ha sido corregido”. Así, la mayor parte de la labor queda en manos de los proveedores de los servicios, quienes deben resolver el problema e informar el estatus de seguridad que guardan sus aplicaciones para todos los usuarios. Lo preocupante es que Heartbleed sigue activo y las empresas no lo toman en serio.

¿Cuáles son los pilares de Codenomicon para evitar estos problemas y monitorear mejor la seguridad empresarial?

El primero es Defensics que busca vulnerabilidades desconocidas en las aplicaciones y sistemas; otro es Appcheck que busca vulnerabilidades ya conocidas en el mercado de las aplicaciones más comunes del mercado; y el tercero es Abuse SA, que ayuda en forma inteligente a vigilar la seguridad de las empresas. De hecho gracias a Defensics la empresa pudo descubrir la grave vulnerabilidad de Heartbleed, aun cuando era un piloto, y lo consolido como un producto estrella de la compañía. El hecho de descubrir que el 85% de los servidores del mundo está infectado con esta falla de seguridad nos abrió nuevos negocios y un nombre en este competitivo mercado, pero con esta herramienta, y con Appcheck, tenemos un expertise que ninguna otra empresa de seguridad tiene en el mundo.

¿Y qué otros errores han descubierto con sus herramientas?

Algo que está sucediendo mucho en Sudamérica es la mala construcción de aplicaciones móviles para cualquier sistema operativo. Las empresas que se dedican a crear aplicaciones no chequean las vulnerabilidades antes de subir su app. No lo hacen y las empresas dueñas de estas store de aplicaciones tampoco lo hacen. Si usaran Appcheck esto no ocurriría y se evitarían muchas molestias y grandes pérdidas de tiempo y dinero. Como ejemplo, existe una app de linterna para smartphones muy usada y popular, que aún está llena de vulnerabilidades, y los usuarios no lo saben.